USB-Geräte dieser gemeinsame Nenner zwischen allen Angriffen uff Systeme mit Luftspalt
[ad_1]
Cyberangriffe uff Systeme mit Luftspalt, darunter dieser ausgeklügelte und gefährliche Stuxnet-Übergriff von 2010, dieser eine Urananreicherungsanlage lahmlegte, nach sich ziehen nicht mehr da eines verbinden: vereinigen USB-Stick.
Eine neue ESET-Studie obig 17 Schadsoftware-Frameworks, die Bedrohungsakteure in den letzten zehn Jahren verwendet nach sich ziehen, um Systeme mit Air-Gap-Systemen anzugreifen, zeigte, dass jeder von ihnen ein USB-Laufwerk verwendet, um Schadsoftware in die Umgebung einzuschleusen und Wissen von dort zu extrahieren. Dieser Sicherheitsanbieter stellte steif, dass die beste Verteidigung zu Händen Unternehmen gegen Angriffe uff Systeme mit Luftspalt darin besteht, die USB-Nutzung so weit wie möglich einzuschränken und sie in Situationen, in denen die Geräte verwendet werden zu tun sein, genau zu beaufsichtigen.
„Dieser Schutzmechanismus von Air-Gap-Netzwerken gegen Cyberangriffe ist ein sehr komplexes Themenbereich, dies mehrere Disziplinen umfasst“, sagt Alexis Dorais-Joncas, Teamleiter Security Intelligence zwischen ESET. „Außer davon ist es wertvoll zu verstehen, wie von Rang und Namen [malware] Frameworks funktionieren in Air-Gap-Umgebungen und leiten Wege ab, um gängige bösartige Aktivitäten zu wiedererkennen und zu blockieren.”
Unternehmen schützen ihre wichtigsten Geschäfts- und Betriebssysteme oft, während sie sie physisch von anderen verbundenen Netzwerken trennen – oder mit einem Luftspalt versehen. Dasjenige Ziel besteht darin, sicherzustellen, dass ein Angreifer, dieser sich unter Umständen Zugriff uff dies Unternehmensnetzwerk verschafft hat, keine Möglichkeit hat, selbige Systeme durch seitliche Bewegungen, Rechteausweitung und andere Methoden zu glücken.
Wiewohl gab es in den letzten Jahren zahlreiche Fälle, in denen es Bedrohungsakteuren gelungen ist, die Luftlücke zu kurzschließen und uff geschäftskritische Systeme und Unterbau zuzugreifen. Dieser Stuxnet-Übergriff uff den Persien – vermutlich von US-amerikanischen und israelischen Cybersicherheitsteams angeführt – bleibt eines dieser bemerkenswertesten Beispiele. In dieser Kampagne gelang es den Agenten, ein USB-Gerät mit dem Stuxnet-Wurm in ein Windows-Zielsystem einzuführen, wo es eine Schwachstelle (CVE-2010-2568) ausnutzte, die eine Kettenfäden von Ereignissen auslöste, die schließlich zu zahlreichen Zentrifugen zwischen dieser iranischen Urananreicherung in Natanz führte Gebilde zerstört wird.
Andere Frameworks, die im Laufe dieser Jahre zwischen Angriffen uff Systeme mit Luftspalt entwickelt und verwendet wurden, sind Ramsay von dieser südkoreanischen Hackergruppe DarkHotel, PlugX von Mustang Panda aus VR China, Fanny von dieser wahrscheinlich NSA-nahen Equation Group und USBCulprit von Goblin Panda aus VR China. ESET analysierte selbige und andere Schadsoftware-Frameworks, die keiner Schar wie ProjectSauron und agent.btz zugeordnet wurden. Die Forscher des Sicherheitsanbieters konzentrierten sich insbesondere uff Facetten wie Schadsoftware-Ausführungsmechanismen, Schadsoftware-Funktionalitäten in Air-Gap-Netzwerken zu Händen Persistenz, Untersuchung und andere Aktivitäten sowie uff Kommunikations- und Exfiltrationskanäle.
Große Ähnlichkeiten
Die Zeremonie ergab, dass wenige von ihnen große Ähnlichkeiten aufwiesen – einschließlich Schadsoftware-Frameworks von vor 15 Jahren. Außer davon, dass USBs ein roter Garn sind, war jedes Schadsoftware-Toolkit zu Händen Air-Gap-Netzwerke Neben… dies Werk einer fortgeschrittenen Schar von persistenten Bedrohungen. Aus Frameworks wurden entwickelt, um Spionage durchzuführen und speziell uff Windows-Geräte abzuzielen. Mehr qua 75 % von ihnen verwendeten bösartige LNK- oder Autorun-Dateien uff USB-Laufwerken, um zunächst ein Air-Gap-System zu kompromittieren oder sich seitwärts in einem Air-Gap-Netzwerk zu in Bewegung setzen.
“Die wichtigste Erkenntnis ist, dass dieser einzige Zugangspunkt zu Air-Gap-Netzwerken, dieser jemals beobachtet wurde, obig USB-Laufwerke ist. Darauf sollten Unternehmen ihre Bemühungen unterordnen”, sagt Dorais-Joncas. “[Organizations] sollte Neben… wiedererkennen, dass viele dieser 17 Frameworks Ein-Tages-Schwachstellen ausgenutzt nach sich ziehen, dies sind Sicherheitslücken, zu Händen die zum Zeitpunkt dieser Verwendung ein Patch vorhanden war”, sagt er. Dasjenige bedeutet, Air-Gap-Systeme uff dem neuesten Stand dieser Sicherheit zu halten Fixes ist wichtig und würde den Angreifer zwingen, geeignete Zero-Day-Exploits zu gedeihen oder zu erwerben oder weniger effiziente Techniken zu verwenden, sagt er.
ESET stellte steif, dass Frameworks zu Händen Angriffe uff Air-Gap-Netzwerke zwar viele Gemeinsamkeiten aufzeigen, die Wesen und Weise, wie die Angriffe selbst umgesetzt werden, jedoch tendenziell in eine von zwei Kategorien plumpsen: verbundene Frameworks und Offline-Frameworks.
Angriffskategorien
Verbundene Frameworks werden entwickelt, um eine vollständige Remote-End-to-End-Konnektivität obig dies Netz zwischen dem Angreifer und den kompromittierten Systemen uff dieser Air-Gap-Seite bereitzustellen, sagt Dorais-Joncas. Im Zusammenhang Angriffen uff vernetzte Frameworks kompromittieren Bedrohungsakteure zunächst die mit dem Netz verbundenen Systeme eines Unternehmens und installieren darauf Schadsoftware, die wiedererkennen kann, wenn ein USB-Gerät in sie eingesteckt wird. Die USB-Laufwerke sind mit einer bösartigen Nutzlast bewaffnet, die uff jedes Air-Gap-System transferieren wird, wenn es verbunden ist. Dasjenige vergiftete USB-Gerät untersucht die Luftspaltsysteme, sammelt spezifische Informationen und speichert sie uff dem Gerät. Wenn dies USB-Laufwerk wieder in dies kompromittierte System im mit dem Netz verbundenen Netzwerk eingesetzt wird, werden die gespeicherten Wissen exfiltriert.
Dorais-Joncas sagt, dass ein möglicher Grund, warum ein Unternehmen vereinigen USB zum Replizierung von Informationen zwischen einem angeschlossenen Netzwerk und einem Air-Gap-System verwenden könnte, darin besteht, neue Software bereitzustellen.
„Stellen Sie sich vor, ein Systemadministrator lädt ein Software-Installationsprogramm uff seinen kompromittierten angeschlossenen Computer herunter, steckt ein USB-Laufwerk ein, um dies Installationsprogramm zu kopieren, und wechselt dann von einem System mit Luftspalt zu einem anderen, um die Software zu installieren“, sagt Dorais-Joncas.
Selbst mit automatisierten Frameworks müsste ein USB-Gerät jedoch immer noch physisch zwischen dem mit dem Netz verbundenen Netzwerk und dieser Air-Gap-Umgebung geteilt werden, damit dieser Übergriff funktioniert, sagt er.
Manche Untersuchungen nach sich ziehen gezeigt, wie Wissen durch verdeckte Übertragung aus Umgebungen mit Luftspalten transferieren werden können – ohne menschliches Zutun. Andererseits ESET sagte, es sei nicht in dieser Standpunkt gewesen, vereinigen einzigen Kernpunkt zu finden, in dem dies passiert sein könnte.
Offline-Frameworks nach sich ziehen inzwischen kein zwischengeschaltetes System. Im Zusammenhang diesen Angriffen führt ein Operator oder Mitwisser traurig nicht mehr da Aktionen aus, wie zum Vorbild dies Vorbereiten des ersten bösartigen USB-Laufwerks und dies Sicherstellen, dass es uff dieser Seite mit Luftspalt eingeführt wird, damit die Nutzlast in dieser Zielumgebung umgesetzt werden kann.
“Während nicht mehr da anfänglichen Ausführungsvektoren uff dieser Air-Gap-Seite uff USB-Laufwerken beruhten, nach sich ziehen wir eine ziemlich breite Palette von Techniken festgestellt, um bösartigen Quelltext zur Exekution zu erwirtschaften”, sagt Dorais-Joncas. Manche, wie Stuxnet, nutzten Schwachstellen aus, die eine automatisierte Exekution dieser bösartigen Nutzlast ermöglichten. In anderen Fällen verließ sich dies Angriffs-Framework darauf, dass ein ahnungsloser Benutzer vereinigen mit Schadsoftware beladenen USB-Stick in ein Air-Gap-System einführte und den Quelltext startete – während er ihn wie dazu brachte, ein bösartiges Office-Manuskript uff dem Laufwerk zu öffnen.
James Bond
Dasjenige letzte Szenario ist, dass es einem Angreifer gelingt, direkten Zugriff uff ein Zielsystem mit Luftspalt zu erhalten und dies USB-Laufwerk verwendet, um dolos Schadsoftware zu installieren, um Wissen davon zu stehlen.
“Dasjenige ist dies James-Bond-Szenario”, bemerkt Dorais-Joncas. “Die Schadsoftware würde dann ihre Spionageaktivitäten handeln, wie die gewünschten Dateien zurück uff dies Laufwerk kopieren, und dieser Bediener würde dies Laufwerk trennen und dies Terrain verlassen.”
Die Schadsoftware zwischen solchen Angriffen verfüge obig null Persistenzmechanismen, so dass es sich zwischen ihrem Kapitaleinsatz um vereinigen “Hit-and-Run”-Übergriff handele.